52
MANAJEMEN RISIKO TEKNOLOGI INFORMASI MENGGUNAKAN
FRAMEWORK ISO 31000
(STUDI KASUS: SISTEM INFRASTRUKTUR TI TELKOM INDONESIA)
Nazruddin Safaat H
Teknik Informatika, Fakultas Sains dan Teknologi, UIN Suska Riau e-mail: uxc.wilis@gmail.com
ABSTRAK
Banyaknya bencana alam yang terjadi di Indonesia sering mengakibatkan tidak berfungsinya sistem infrastruktur TI PT. Telkom Indonesia sehingga pelanggan tidak bisa menggunakan layanan dari Telkom.Sitem Infrastruktur TI merupakan aset penting maka harus dikelola secara efektif untuk memaksimalkan efektivitas penggunaannya dan agar risiko terkait dari teknologi yang diimplementasikan dapat dimitigasi.Manajemen risiko dapat memberikan pertimbangan secara terstruktur dengan memperhatikan segala bentuk ketidakpastian dalam pengambilan keputusan dan tindakan yang harus diambil guna menangani berbagai risiko tersebut. Paper ini menyajikan sebuah studi kasus tentang permasalahan terkait TI yang terjadi pada perusahaandi sektorindustrilayanan telekomunikasi, analisis dilakukan dengan menggunakan framework ISO 31000:2009. Framework ini mempertimbangkanrisiko TI sebagai bagianintegral darikerangkarisiko perusahaan. Penelitian inimenggunakandata sekunderdari laporantahunan dan situsperusahaan yang akan diteliti.
Kata Kunci : Infrasruktrur TI, Teknologi Informasi, Information Technology Risk, Enterprise Risk
Management (ERM), framework, ISO 31000:2009
ABSTRACT
The natural disasters occurring at Indonesia often result the malfunction of PT. Telkom Indonesia’s
infrastructure with the impact that customers can not use the services. IT infrastructure is an important asset must be managed effectively to maximize the effectiveness and associated risks of technologies that are implemented can be mitigated.Risk management can provide a structured consideration by analysis all of uncertainty in decision making and action to be taken the risks. This paper uses a case study of IT-related problems that occur intelecommunications service industry sector companies, the analysis by using the ISO 31000:2009 framework. Framework considers IT risks as an integral part of enterprise risk framework. This study uses secondary data from annual reports and company websites to be researched.
Key words: Infrasruktrur TI, Information Technology, Information Technology Risk, Enterprise Risk Management (ERM), framework, ISO 31000:2009
PENDAHULUAN
Sebagai Perusahaan yang bergerak dalam bisnis informasi, TELKOM senantiasa berusaha untuk memanfaatkan seluas mungkin penggunaan teknologi dalam pengelolaan Perusahaan.Pada tahun 2009 hampir seluruh titik dalam value-chain Perusahaan telah terintegrasi dalam jaringan teknologi informasi. Selain untuk pengoperasian jaringan seluruh infrastruktur alat produksi, semua aspek penting dalam manajemen Perusahaan seperti keuangan, logistik, sumber daya manusia termasuk juga pelayanan kepada karyawan, pelanggan, pemasok dan pemangku
kepentingan lainnya telah memanfaatkan jaringan teknologi informasi TELKOM.
53
Peranan Teknologi Informasi (TI) padasuatu perusahaan merupakan peranan yang sangat penting, tetapisering kita jumpai dalam implementasinya selain mendapatkan manfaat dari TI tentu akan diimbangi dengan berbagai risiko (Information Technology Risk) yang dapat mempengaruhi pencapaian sasaran perusahaan. Mengingat bahwa TI merupakan aset penting maka harus dikelola secara efektif guna memaksimalkan efektivitas penggunaannya dan agar risiko terkait dari teknologi yang diimplementasikan dapat dimitigasi (ISACA, 2009).
Dalam melakukan kegiatan operasionalnya, TELKOM menghadapi banyak sekali risiko-risiko yang akan mengganggu, baik itu risiko internal maupun risiko eksternal. Hal ini dikarenakan TELKOM merupakan perusahaan perseroan terbatas yang berkedudukan di Indonesia yang sebagian besar operasi, aset dan pelanggannya berada di Indonesia. Akibatnya, kondisi politik, ekonomi, hukum dan sosial di Indonesia di masa mendatang, serta tindakan dan kebijakan tertentu yang diambil atau tidak diambil oleh Pemerintah secara material dapat berdampak negatif terhadap usaha, kondisi keuangan dan hasil operasi TELKOM.
Manajemen risiko dapat memberikan pertimbangan secara terstruktur dengan memperhatikan segala bentuk ketidakpastian dalam pengambilan keputusan dan tindakan yang harus diambil guna menangani berbagai risiko tersebut. Prinsip Enterprise Risk Management (ERM) adalah sebagai tool untuk membantu perusahaan dalam mengelola dan memitigasi risiko (Segal, 2011).
Salah satu framework standard untuk mengelola risiko adalah ISO 31000. Framework ini merupakan produk standarisasi internasional (ISO) yang dikenal dengan ISO 31000:2009.Framework ini menyediakan panduan dalam mendesain, implementasi dan memelihara proses pengelolaan risiko didalam sebuah organisasi[2]. Selain ISO 31000 terdapat berbagai framework khusus IT Risk seperti IT Risk ISACA dan ISO 27005. Alasan utama untuk menggunakan ISO 31000 adalah bahwa IT memberikan konstribusi terhadap elemen penting dalam ERM (risiko keuangan, risiko operasional dan risiko strategis) , sehingga penggunaan ISO 31000 juga bisa
dijadikan sebagai framework untuk menganalisa risiko IT (Leo dkk, 2010).
Paper ini menyajikan sebuah studi kasus tentang permasalahan manajemen risiko terkait TI yang disebatkan oleh permasalahan infrastruktur khusunya gangguan alam yang terjadi pada perusahaandisektorindustrilayanan telekomunikasi. Dalam studi kasus ini dipilih PT. Telkom Indonesia, Tbk sebagai perusahaan yang dianalisis.Toolanalisis dilakukan dengan menggunakan framework ISO 31000:2009. Penelitian ini menggunakan data sekunder dari laporan tahunan, situs perusahaan dan situs lainnya yang terkait.
Enterprise Risk Management (ERM) Konsep ERM
ERM ditujukan untuk meningkatkan kinerja sebuah organisasi dengan cara yang lebih holistic. Dengan keberadaan dari konsep ERM, banyak organisasi terutama perusahaan yang melaksanakan bisnis, bisa mendapatkan manfaat dengan mengaplikasikan konsep ERM di dalam organisasi mereka.Manajemenrisiko perusahaan (ERM) mengambil perspektif yang luaspada identifikasi risiko yang dapat mengakibatkan suatu organisasi gagal untuk memenuhi strategi dan tujuan. Implementasi ERM tergantung pada sejumlah variabel organisasi dan tidak ada cara khususyang tersedia untuk menjamin keberhasilan penerapan dalam organisasi (COSO, 2004).
Dalam penerapan di perusahaan, manajemen risiko pada perusahaan ditangani secara khusus dibawah Direktur Compliance & Risk Management, dimana direktur ini mempunyai fungsi dan tanggung jawab sebagai berikut :
Mengelola kepatuhan, pelaksanaan hukum dan manajemen risiko di Di rektorat Compliance & Risk Management;
54
Direktur Utama (CEO)Direktur Konsumer Direktur Enterprise & Wholesale
Direktur IT, Solution & Supply / CIO
Direktur Compliance & Risk Management
Direktur Human Capital & GA
Direktur Keuangan / CFO
EVP Strategic Investment & Corporate Planning Direktur Network &
Solution / COO
Head of Corporate
Communication & Affair Head of Internal Audit
Gambar Struktur Organisasi Telkom
Konsep Framework Manajemen Risiko TI Menurut The American Heritage Dictionary of the English Language, framework dapat didefinisikan sebagai sekumpulan asumsi, konsep, nilai, dan praktik yang merupakan cara pandang secara realitas (ISACA, 2009).
Manajemen risikoTI adalahpenerapan manajemen risikodengan konteksteknologi informasiuntuk mengelolarisiko TI. Manajemen risikoTIdapat dianggap sebagaikomponen dari suatusistem manajemen risikoyang lebih luasEnterprise (Alijoyo).
Berdasarkan definisi yang telah dijabarkan di atas dapat diambil kesimpulan bahwa frameworkmanajemen risiko merupakan seperangkat komponen yang memberikan landasan dan kerangka kerja untuk merencanakan, menerapkan, memonitor, review dan secara berkelanjutan memperbaiki proses manajemen risiko pada seluruh bagian organisasi (Leo, 2010). Yang dimaksudkan sebagai landasan adalah kebijakan, sasaran, mandat dan komitmen manajemen risiko. Kerangka kerja manajemen risiko menyatu dalam kebijakan strategis, operasional dan praktik-praktik organisasi.
Framework manajemen risikoTI merupakankerangka kerjayang didasarkan pada seperangkatprinsip-prinsip penuntununtuk manajemenrisikoTIyang efektif, menyediakan kerangka kerja bagiperusahaan
untukmengidentifikasi,mengaturdan mengelolarisiko TI (ISACA, 2009).
Framework Manajemen RisikoISO31000 ISO 31000“Risk Management-Principle and Guidelines on Implementation” adalah keluarga standar internasional pedoman penerapan manajemen risiko yang diterbitkan oleh International Organization for
Standardization (ISO). Standar yang diterbitkan pada 13 November 2009 ini merupakan pengembangan standar AS/NZS 4360:2004 yang dikeluarkan oleh Standards Australia (ISO, 2011).
Kelebihan ISO 31000:2009 dibandingkan dengan framework lain (Leo, 2011):
1. Kemudahan dalam menerapkan
2. Lingkup penerapan ISO 31000 lebih general
3. ISO 31000 bukan untuk sertifikasi
4. ISO 31000 telah diadopsi oleh banyak negara
Struktur ISO 31000 terdiri atas tiga elemen yang saling berkaitan yaitu 1) prinsip manajemen risiko; 2)framework manajemen risiko; dan 3) proses manajemen risiko (Leo, 2010).
1) Prinsip Manajemen Risiko
Prinsip-prinsip manajemen risiko (Principles Risk Management)dapat dikatakan efektif apabila memiliki kemampuan untuk menerapkan prinsip-prinsip sebagai berikut (Leo, 2010):
a. Manajemen risiko harus memberi nilai tambah
b. Manajemen risiko adalah bagian terpadu dari proses organisasi
c. Manajemen risiko adalah bagian dari proses pengambilan keputusan
d. Manajemen risiko secara khusus menangani aspek ketidakpastian e. Manajemen risiko bersifat sistematik,
terstruktur dan tepat waktu
f. Manajemen risiko berdasarkan pada informasi terbaik yang tersedia
g. Manajemen risiko adalah khas untuk penggunaannya
h. Manajemen risiko mempertimbangkan faktor manusia dan budaya
i. Manajemen risiko harus transparan dan inklusi
j. Manajemen risiko bersifat dinamis, berulang dan tanggap terhadap perubahan
k. Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut.
2) Framework Manajemen Risiko
55
supaya dapat berhasil dengan baik. Frameworkini akan menjadi dasar penataan yang mencakup seluruh kegiatan manajemen risiko disemua tingkatan organisasi. Selain itu, dapat membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen risiko, memastikan informasi risiko yang lengkap dan memadai yang digunakan sebagai landasan untuk pengambilan keputusan. Gambar 1menggambarkan komponen-komponendari framework manajemen risiko yang diperlukan dan hubungannya satu dengan yang lainnya.
Mandat dan Komitmen
Perbaikan kerangka kerja secara berkelanjutan
Perencanaan framework
manajemen risiko
Penerapan framework
manajemen risiko
Monitoring dan
review
Gambar kerangka kerja untuk mengelola risiko
a. Mandat dan komitmen
Penerapan manajemen risiko yang efektif diperlukan komitmen yang kuat dan berkelanjutan dari manajemen organisasi. b. Perencanaan framework manajemen risiko
- Memahami organisasi dan konteksnya
- Menetapkan kebijakan manajemen risiko
- Akuntabilitas
- Integrasi ke dalam proses bisnis
- Sumber daya
- Pembentukan mekanisme komunikasi internal dan sistem pelaporan
- Pembentukan mekanisme komunikasi eksternal dan sistem pelaporannnya. c. Penerapan framework manajemen risiko
Manajemen risiko risiko dapat dikatakan telah terlaksana dengan baik apabila proses manajemen risiko telah terlaksana di semua tingkatan dan fungsi organisasi. d. Monitoring dan review
Menetapkan ukuran kinerja, meninjau secara berkala framework manajemen risiko, kebijakan risiko dan rencana penerapan risiko tetap sesuai dengan konteks internal dan eksternal organisasi. e. Perbaikan kerangka kerja secara
berkelanjutan.
Berdasarkan hasil monitoring dan review diambil tindak lanjut untuk meningkatkan framework manajemen risiko, kebijakan risiko dan rencana manajemen risiko. 3) Proses Manajemen Risiko
Proses manajemen risiko merupakan bagian yang tidak terpisahkan dari manajemen umum. Manajemen risiko harus menjadi bagian dari budaya organisasi, praktek terbaik organisasi dan proses bisnis organisasi. Proses manajemen risiko meliputi 5 (lima) kegiatan yaitu komunikasi dan konsultasi, menentukan konteks, asesmen risiko, perlakuan risiko, monitoring dan review seperti yang digambarkan pada gambar 2 proses manajemen risiko di bawah ini:
Menentukan Konteks
Identifikasi Risiko
Analisa Risiko
Evaluasi Risiko
Perlakuan Risiko
Ko
m
un
ika
si d
an
Ko
nsu
lta
si
Mo
no
to
rin
g @
Re
vie
w
RISK ASSESSMENT
Gambar 2 Proses untuk Mengelola Risiko (Sumber [4])
a. Komunikasi dan konsultasi
Komunikasi dan konsultasi yang efektif baik internal maupun eksternal harus menghasilkan kejelasan bagi pihak-pihak yang bertanggung jawab untuk menerapkan proses manajemen risiko dan para pemangku kepentingan terkait. b. Menetapkan konteks
Dengan ditetapkannya konteks berarti manajemen organisasi menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam pengelolaan risiko, menentukan lingkup kerja dan kriteria risiko untuk proses-proses selanjutnya.
c. Assestmen risiko
- Identifikasi risiko
56
- Analisis risiko
Analisa risiko meliputi kegiatan-kegiatan yang menganalisa sumber risiko dan pemicu terjadinya risiko, dampak positif dan negatifnya serta kemungkinan terjadinya serta atribut lain risiko.
- Evaluasi risiko
Proses evaluasi risiko akan menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas implementasi perlakuan risiko-risiko tersebut.
d. Perlakuan risiko.
Perlakuan risiko meliputi upaya untuk seleksi terhadap pilihan-pilihan yang dapat mengurangi atau meniadakan dampak serta kemungkinan terjadinya risiko, kemudian menerapkan pilihan tersebut.
Studi Kasus Manajemen Risiko pada Perusahaan disektor Industri Layanan Telekomunikasi
Paper ini mengambil studi kasus pada perusahaan PT. Telkom Indonesia, Tbk. Data yang diambil dari laporan tahunan 2007,2008,2009 serta 2010, dari berbagai website perusahaanserta situs lainnya yang relevan dengan permasalahan yang dianalisis.
Profil Perusahaan
PT Telekomunikasi Indonesia merupakan Badan Usaha Milik Negara (BUMN) penyedia layanan telekomunikasi dan jaringan terbesar di Indonesia. TELKOM menyediakan layanan InfoComm, telepon kabel tidak bergerak (fixed wireline) dan telepon nirkabel tidak bergerak (fixed wireless), layangan telepon seluler, data dan internet, serta jaringan dan interkoneksi, baik secara langsung maupun melalui anak perusahaan. Untuk mewujudkan visi “menjadi perusahaan InfoCom terkemuka di kawasan regional”, TELKOM tengah melakukan proses transformasi menjadi organisasi yang berorientasi pada pelanggan dan mampu bersaing di pasar. TELKOM memahami bahwa diperlukan adaptasi terhadap perubahan lingkungan usaha, serta kemampuan memberikan layanan terbaik pada pelanggan untuk memenangkan persaingan.
Visi
Menjadi perusahaan yang unggul dalam penyelenggaraan Telecommunication,
Information, Media dan Edutainment (TIME) di kawasan regional.
Misi
Menyediakan layanan TIME yang berkualitas tinggi dengan harga yang kompetitif.
Menjadi model pengelolaan korporasi terbaik di Indonesia
Tujuan
Menciptakan posisi terdepan dengan memperkokoh bisnis legacy & meningkatkan bisnis new wave untuk memperoleh 60% dari pendapatan industri pada tahun 2015.
Inisiatif Strategi
Dalamrangka mencapaitujuantersebut diatas, perusahaanmelakukan kegiatantermasuk bisnisutama sebagaiberikut: 1. Mengoptimalkan layanan sambungan
telepon kabel tidak bergerak / fixed wireline (“FWL”).
2. Memperkuat dan mengembangkan bisnis sambungan telepon nirkabel tidak bergerak / fixed wireless access (“FWA”) dan mengelola portofolio nirkabel.
3. Melakukan investasi pada jaringan broadband.
4. Mengintegrasikan solusi bagi UKM, Enterprise dan berinvestasi di bisnis wholesale.
5. Mengembangkan layanan Teknologi Informasi termasuk e-payment.
6. Berinvestasi di bisnis media dan edutainment.
7. Berinvestasi pada peluang bisnis internasional yang strategis.
8. Mengintegrasikan Next Generation
Network (“NGN”) dan OBCE (Operational
support system, Business support system, Customer support system and Enterprise relations management).
9. Menyelaraskan struktur bisnis dan pengelolaan portofolio.
10. Melakukan transformasi budaya perusahaan (Annual Report, 2010).
Manajemen Risiko PT. Telkom.
57
pengendalian internal. dengan kerangka kerjaberbasis COSO Enterprise Risk Management. Risiko Operasional menurut TELKOM adalah risiko-risiko yang terdapat dalam kegiatan operasional sehari-hari perusahaan yang baik secara langsung maupun tidak langsung muncul dari ketidakcukupan atau kegagalan proses internal, orang, dan sistem atau dari kejadian di luar kendali perusahaan, termasuk bencana alam.
Dengan menggunakan pendekatan ERM, risiko dilingkungan PT.Telkom dapat digambarkan sebagai berikut :
Peta Risiko PT. Telkom
Risiko dikelompok kedalam dua bagian yaitu pengaruh lingkungan eksternal terhadap perusahaan (risiko eksternal) dan pengaruh dari dalam operational internal risk). Pengaruh lingkungan eksternal terhadap perusahaan dapat dilihat pada tabel 1.Konteks eksternal adalah lingkungan eksternal dimana organisasi tersebut mengupayakan pencapaian tujuan yang ditetapkannya.
Tabel 1 Risiko dalam konteks eksternal (Kaderi dkk, 2008)
Pengaruh Lingkungan Eksternal N
o
Faktor
Makro Jenis risiko
1
Technological Innovation Risk
a. Kurangnya visi mengenai trend teknologi masa depan b. Investasi pada teknologi
yang tidak tepat
c. Kehilangan peluang untuk meng-upgrade teknologi
2 Country Risk
a. Stabilitas sosial, politik dan ekonomi Indonesia yang tidak menentu
b. Fluktuasi nilai tukar valuta asing
c. Kelelaian negara dalam
membayar hutang
3 Disaster Risk
a. Bencana alam (gempa bumi, gunung meletus,dll) b. Bencana akibat kelalaian
manusia
(kebakaran,banjir,dll) c. Terorisme
4
Corporate Governance Risk
a. Kurangn baiknya penerapan Good Corperate Governance dalam hal transparansi
b. Praktek bisnis yang tidak sesuai etika
c. Integrasi manajemen
5
Capital Availability Risk
a. Terhambatnya dana belanja modal
b. Keterbatasan kapasitas untuk memenuhi inverstasi tambahan
c. Mahalnya biaya modal d. Keterbatasan sumber dana
dalam negeri
6 Competition Risk
a. Pergerakan competitor b. Perebutan pasar yang tepat
dengan aturan yang ditentukan
c. Perang tariff
d. Tekanan dari kebutuhan pengembangan usaha e. Konsolidasi bisni dari
operator yang telah ada f. Produk atau layanan baru
dari competitor
7
Regulation/Le gal/Internal Policy Risk
a. Rendahnya entry barriers sehingga meningkatkan churn dan kompetisi b. Batas-batasan dalam
industri yang menimbulkan kehilangan pendapatan atau peluang
c. Perubahan regulasi
d. Ketentuan registrasi pelanggan prabayar e. Kompensasi bertahap dari
terminasi dini hak eksklusif Telkom
f. Regulasi yang
mengembang g. Kehilangan lisensi
58
Pengaruh lingkungan internal terhadap perusahaandapat dilihat pada tabel 2. Konteks internal adalah lingkungan internal dimana organisasi tersebut mengupayakan pencapaian sasaran yang ditetapkannya.
Tabel 2 Risiko dalam konteks internal (Kaderi dkk, 2008)
Pengaruh Lingkungan internal
No Faktor
Makro Jenis risiko
1.
Product Devlopment Risk
a. Strategi pengembangan produk yang tidak efektif sehingga tidak dapat memenuhi kebutuhan konsumen
b. Ketidakmampuan untuk memaksimalkan
penggunaan data dan alat untuk analisis
c. Penelitian atau pengetasan produk yang tidak tepat d. Tarif yang tidak
kompetitif
e. Kurang optimalnya pendukung produk yang diluncurkan
2.
IT/Network Infrastructure Risk
a. Kurangnya koordinasi bisnis antar Unit Bisnis b. Kurang mendukung
organisasi dan pelatihan pegawai
c. Kurang baiknya manajemen operasional aplikasi, jaringan, dan sistem database
d. Kurang baiknya kualitas jaringan atau teknologi usang
e. Adanya orang yang tidak punya otoritas masuk ke jaringan
f. Proses kode
akses/password yang tidak efektif
g. Kebocoran Informasi h. Keterbatasan kapasitas
dan spektrum di masa datang (bisnis seluler) i. Jangka waktu operasi
satelit yang terbatas
3.
Human Resources / Leadership Risk
a. Struktur remunerasi yang tidak efektif
b. Sistem screening yang tidak efektif
c. Rencana Kerja yang tidak memenuhi kebutuhan d. Strategi pengembangan
karyawan yang tidak efektif
e. Kegiatan Sekar yang kurang mendukung f. Kepuasan karyawan
(reward&punish) yang kurang seimbang
g. Penempatan karyawan yang tidak efektif
h. Pegawai yang kurang komitmen
4 Inter-Carrier Risk
a. Kontrak yang tidak lengkap
b. Tidak adanya standar yang disepakati untuk penyelesaian dan pemantauan traffic c. Ketidakmampuan untuk
menggumpulkan
pendapatan dari operator lain
d. Kesalahan dalam menganalisis trend traffic dan pemantauan credit standing dari operator lain
5 Brand Erosion Risk
a. Adanya merek lain yang dapat mengalahkan merek TELKOM
b. Kualitas layanan produk dan konsumen yang buruk
c. Kurangnya diferensiasi produk
d. Kurangnya komunikasi
6 Partnering Risk
a. Ketergantungan terhadap teknologi dari suplier b. Supplier tidak dapat
memenuhi kebutuhan pasar
a. Tidak mengerti/tidak dapat memenuhi kebutuhan konsumen b. Perubahan perilaku
konsumen
c. Peningkatan kebutuhan jaringan
d. Kualitas pelayanan yang buruk
e. Kurangnya publikasi untuk membangun image perusahaan
f. Kegagalan sistem layanan telekomunikasi
59
8 Fraud Riska. Kesalahan interpretasi performansi perusahaan b. Melanggar tugas atau
tanggung jawab c. Fraud dalam Transaksi d. Pencurian atau
penggelapan uang/aset perusahan
e. Penggandaan sistem jaringan
f. Manipulasi data jaringan
9 Procurement Risk
a. Kurangnya data tentang supplier
b. Tidak efektif manajemen vendor
c. Kurang baiknya negosiasi kontrak
d. Pemilihan supplier yang tidak tpat
10
Information Integrity Risk
a. Spesifikasi yang tidak tepat
b. Defisiensi yang sistematika
c. Kelengkapan dan akurasi database informasi
11
Business Capacity Planning Risk
a. Pemakaian kapasistas atau sumber daya lainnya secara tidak optimal b. Kehilangan peluang
pendapatan
c. Rendahnya tingkat keuntungan
12
Business Interuption Risk
a. Putusnya layanan telekomunikasi
b. Kehilangan satelit atau komponen jaringan lainnya
Kasus yang Dianalisis
Kasus yang dianalisis yaitu risiko IT yang berkaitan dengan gangguan alam. Dimana sering kejadian Layanan tidak dapat berjalan semestinya akibat Infrastuktur PT. Telkom mengalami gangguan karena bencana atau gangguan alam, hal ini memeberikan dampak negative dan berpengaruh langsung terhadap pendatan serta pencapaian tujuan perusahaan.
Berikut adalah kasus-kasus yang berhubungan dengan risiko IT di PT. Telkom Indonesia yang berhubungan dengan kejadian alam.
Akibat Gangguan Jaringan, PT. Telkom (Persero) Baubau Rugi sekitar Milyaran Rupiah
Akibat gangguan jaringan internet di wilayah Baubau dan Raha kurang lebih selama 3 hari , PT. Telkom Cabang Baubau akui mengalami kerugian sekitar milyaran rupiah. Akibatnya kurang lebih 5 ribuan pelanggan di kota Baubau dan Raha tidak dapat menikmati layanan telepon rumah, speedy dan fleksi, juga Bank yang mengunakan layanan telkom. Gangguan jaringan yaitu kerusakan radio karena disambar petir dan alat transmisi terjatuh pada hari Minggu 3 Juli 2011 sekitar pukul 13.00 WITA di Desa Ponggaluku Kendari yang mengarah pada jalur Kec. Maligano Kab. Muna (PT. Telkom, 2011).
Telkom rugi Rp18 miliar akibat bencana banjir.
PT Telkom Tbk mengklaim mengalami kerugian sekitar Rp15 miliar sampai Rp18 miliar akibat musibah banjir yang melanda Jakarta.Dirut PT Telkom Tbk Arwin Rasyid mengatakan kerugian tersebut meliputi potensi pendapatan dari interkoneksi sebesar Rp1 miliar-Rp1,6 miliar (incoming), pendapatan Speedy Rp300 juta-Rp500 juta, serta kerusakan rumah kabel senilai Rp500 juta-Rp1 miliar. kerugian dari sisi abonemen yang harus dibayarkan kepada pelanggan ritel, sebagai kompensasi atas terjadinya kerusakan jaringan Telkom, sebesar Rp4 miliar sampai Rp5 miliar (PT. Telkom, 2007).
2 (dua) buah Titik Fiber Optik Rusak, PT.Telkom Indonesia minta maaf
Dua titik yang rusak berada di wilayah Pekanbaru-Rengat dan Pekanbaru-Batam, akses layanan komunikasi ke arah Sumatera Bagian Selatan dan Kota-kota lainnya ikut terganggu. Baik berupa layanan telpon rumah, layanan internet, flexi, komunikasi data dan Virtual Private Network (VPN) IP (PT. Telkom, 2009).
60
berfungsi dan pada umumnya disebabkankarena tidak adanya pasokan listrik (PT. Telkom, 2009).
Infrastruktur Telkom Rusak, Layanan Komunikasi Belum Normal
Gempa tektonik berkekuatan 7,6 skala richter yang melanda Sumatera Barat, Rabu (30/09) sore, mengakibatkan beberapa gedung kantor Telkom, termasuk Gedung Sentral Telepon Otomat (STO) Padang, STO Sungai Limau (Pariaman) dan STO Balai Salasa (Painan) rusak parah.STO Padang rusak parah, alat-alat produksi beroperasi dengan baterai dan sedang dalam proses pengalihan kepada mesin generator (genset) (PT. Telkom, 2009).
Ribuan Telepon di Aceh dan Sumut Mati Karena Banjir: Telkom Berusaha Mengambil Tindakan Cepat
Musibah banjir besar yang melanda wilayah Aceh dan Sumatera, beberapa STO yang terkena musibah banjir meliputi:
STO Pangkalan Brandan.Memiliki kapasitas 3.600 SST dengan jumlah pelanggan sekitar 3.200. Di-off-kansejak Sabtu 23 Desember 2006 sekitar pukul 10.00 WIB.
STO Kuala Simpang. Memiliki kapasitas 2.782 SST. Status sudah di-on-kan kembali Minggu pukul 11.00 WIB. Sekitar 1.100 SSF telepon Flexi sempat di-off-kan akibat jaringannya terkena gangguan multiplexer.
STO Lhoksukon.Memiliki kapasitas 1.037 SST. Status off karena catu daya dan Rumah Kabel masih terendam air (PT. Telkom, 2006).
HASIL DAN PEMBAHASAN
Sebagai perusahan yang bergerak di bidang Telkomunikasi, PT. Telkom harus terus menjaga kualitas Jaringan Telekomunikasinya dalam rangka mencapai tujuan perusahaan. Layanan Telekomunikais sangat tergantung dengan berjalannya secara normal infrastuktur Jaringan yang ada, hal ini dikarenakan hampir seluruh bisnis utama Telkom tergantung terhadap berjalan normalnya fungsi dari infrastuktur TI yang dimiliki.
Keberlangsungan berjalan normalnya Jaringan Infrastruktur PT. Telkom sangat
penting. Telkom sebenarnya sudah menerapkan manajemen risiko, tapidalam perjalanannya masih ditemukan masalah-masalah risiko terutama karena adanya gangguan alam.
Menentukan konteks
Berdasarkan strategi serta tujuan perusahaan, Telkom melakukan transforamsi dari penyedia telekomunikasi tradisional menjadi penyedia layanan TIME (telecommunications, information, media dan edutainment) yang lebih luas cakupannya.
INFRASTUKTUR
KARYAWAN OPERATOR LAIN
PLN PELANGGAN
VENDOR REGULATOR
UUD
MEDIA MASSA
Gambar.Peta hubungan Infrastruktur Telkom dengan Stakeholders (Lingkungan eksternal)
Dari gambar diatas terlihat bahwa Pelanggan, vendor, karyawan, operator lain serta PLN adalah merupakan stakeholders utama yang secara langsung berhubungan dengan infrastruktur Jaringan Telkom. Pelanggan disini adalah orang atau organisasi serta perusahaan yang menggunakan layanan/produk dari Telkom, Vendor disini adalah pihak yang suplay perangkat-perangkat infrastruktur Telkom, Karyawan adalah pihak yang bertanggungjawab atas risiko tersebut, Operator lain adalah operator penyedia layanan teknologi telekomunikasi yang menjalin kerjasama dengan Telkom, serta PLN adalah pihak yang mensuplai tegangan(power) untuk menjalankan infrastruktur jaringan telekomunikasi Telkom.
61
Assesment risiko1. Identifikasi risiko
Metode yang digunakan dalam identifikasi risiko ini adalah pengujian dokumen (document review), fokus terhadap potensi risiko yang dapat menghalangi pencapaian tujuan perusahaan.
1.1 Sumber risiko
Banjir, Petir, angin, gempa. 1.2 Kejadian
Kegagalan berfungsinya Infrastuktur Jaringan Telekomunikasi PT.Telkom sehingga menyebabkan jaringan untuk koneksi/interkoneksitidak bisa digunakan oleh pelanggan.
1.3 Konsekuansi
- Mengalami kerugian akibatnya hilangnya pendapatan atas penggunaan layanan dan biaya untuk recovery.
- Berdampak negative terhadap kepuasan pelanggan.
1.4 Pemicu
Kerusakan radio, Jatuhnya alat transmisi,putusnya
koneksi/interkoneksi, putusnya pasokan listrik alat transmisi.
1.5 Pengendalian
Antisipasi awal mengoperasikan jaringan telekomunikasi backup. 1.6 Perkiraan kapan dan dimana risiko
terjadi
Kebanjiran diperkirakan setiap setahun terjadi,
Metoda yang digunakan untuk mengidentifikasi risiko sistem infrastruktur adalah FMEA. Sepuluh langkah yang dilakukan untuk menerapkan FMEA sebagai berikut:
i. Peninjauan Sistem Infrastruktur
Berikut ini adalah bisnis utama Telkom yang sangat erat hubungannya dengan keberlangsungan Jaringan Infrastuktur :
Gambar Layanan TIME Telkom
a. Layanan Telepon Tidak bergerak Dengan penetrasi pasar telepon kabel tidak bergerak di Indonesia sebesar 3,0% per 31 Desember 2010, TELKOM menguasai kurang lebih 99,0% pangsa pasar dengan jumlah 8,3 juta pelanggan. Jumlah ini sudah termasuk pelanggan speedy dan Yes TV. b. Sambungan Telepon Nirkabel
Tidak Bergerak
Telkom mempunyai telepon nirkabel tidak bergerak berbasis teknologi CDMA dengan nama Flexi
c. Layanan Seluler
Layanan seluler yang dikelola oleh Telkomsel.
d. Layanan Interkoneksi
sebagai operator telekomunikasi terkemuka di Indonesia, Telkom memperoleh pendapatan dari perusahaan operator telekomunikasi lainnya apabila memanfaatkan jaringan Telkom, e. Layanan Jaringan
Telkom mengelola secara langsung penyediaan layanan jaringan bagi pelanggan yang merupakan mitra usaha, pelaku bisnis dan operator telekomunikasi pemegan lisensi lainnya. Telkom juga menyediakan layanan sewa transponder satelit, siaran satelit, VSAT, distribusi audio,sirkit langganan berbasis satelit dan teresterial. Telkom juga memiliki usaha penyediaan menara untuk sarana pemasangan Base Transceiver Station ("BTS") bagi operator seluler.
f. Layanan Data dan Internet
62
dan layanan multimedia lainnya(Annual Report, 2010).
ii. Brainstorming peluang-peluang kegagalan Sistem Infrastruktur.
Secara garis besar proses penggunaan system Infrastruktur Telkom oleh user dapat digambarkan sebegai berikut :
(TIME)
Telecommunication, Information, Media dan Edutainment
MEMBERIKAN LAYANAN
MEMBAYAR LAYANAN
SISTEM INFRASTRUKTUR TELKOM
USER
Gambar Penggunaan Infrastruktur Telkom
Dalam paper ini sistem Infratruktur Telkom yang ikut dalam pembahasan adalah infrastuktur telekomunikasi yg terdiri dari
STO (Sentral Telepon Otomat) BTS (Base Transceivers Station) BSC (Base Station Controller) MSC (Mobile Switching Centre) Kabel PTSTN
Fiber Optik
Berikut ini adalah potensi kegagalan system infrastuktur Jaringan Telkom
Peluang Kegagalan Sistem Infrastruktur
Kerusakan alat radio
transmisi,BTS,BTC,STO
Putusnya sambungan Kabel PSTN Putusnya jaringan Fiber Optik
iii. Daftar Dampak dari Kegagalan
Untuk mengukur nilai dampak, nilai kemungkinan dan nilai detiksi menggunakan matrix tabel berikut :
Sebutan Nilai Uraian Dampak
(x)
(satuan Milyar)
Sangat Kecil 1 x ≤ 6 Kecil 2.5 6 < x ≤ 10 Sedang 5 10 < x ≤ 40 Besar 8 40 < x ≤ 200 Sangat Besar 10 X > 200
Nilai dampak dari kegagalan sistem infrastruktur Telkom dapat digambarkan dalam tabel berikut :
Peluang Kegagalan
Sistem Infrastruktur
Dampak
Kerusakan alat radio transmisi,BTS,BTC 2.5 Putusnya sambungan
Kabel PSTN 2.5
Tidak Berfungsinya
STO 5
Putusnya jaringan
Fiber Optik 8
iv. Assesment Tingkat Dampak Kegagalan (Nilai Dampak).
Berdasarkan kejadian-kejadian kegagalan sistem infrastruktur telkom dapat dikelompok sebagai berikut :
Financial
Tingkat Kepercayaan Pelanggan v. Assesment Kemungkinan Terjadinya
Kegagalan (Nilai Kemungkinan).
Dalam Assesment kemungkinan terjadinya kegagalan digunakan probability matrix seperti tabel dibawah ini
Sebuta n
Nilai Uraian Kemungkinan
Frek uens i/tah un
Sangat Besar
10 Terjadi setiap tahun
1/1
Besar 8 Menurut pengalaman kejadian ini muncul beberapa kali
1/3
Sedang 5 Menurut
pengalaman baru terjadi satu kali
1/10
Kecil 2.5 Kejadian ini sangat jarang muncul
1/30
Sangat Kecil
1 Pernah mendengar ada kejadian semacam itu
1/10 0
(* 1/1 adalah 1 x / 1 tahun
63
Peluang Kegagalan
Sistem Infrastruktur
Nilai
Kemungkinan
Kerusakan alat radio transmisi,BTS,BTC 8 Putusnya sambungan
Kabel PSTN 8
Tidak berfungsinya
STO 2.5
Putusnya jaringan Fiber Optik 2.5
vi. Asessment Peluang Deteksi (Nilai Deteksi)
Peluang detiksi menunjukkan seberapa jauh kita dapat mendeteksi kemungkinan terjadinya kegagalan, berikut adalah peluang deteksi untuk kegagalan sistem infrastruktur Telkom.Semakin besar nilai deteksi suatu peluang kegagalan berarti semakin besar kemungkinan kita bisa deteksi kemungkinan terjadinya kegagalan tersebut.
Peluang Kegagalan
Sistem Infrastruktur
Nilai Deteksi
Kerusakan alat radio transmisi,BTS,BTC 5 Putusnya sambungan
Kabel PSTN 5
Tidak berfungsi STO 5 Putusnya jaringan Fiber Optik 2,5
vii.Assesment Tingkat Prioritas Risiko Nilai prioritas risiko (RPN) dihitung dengan formulasi sebagai berikut:
RPN dihitung pada setiap peluang kegagalan pada sisitem Infrastruktur Jaringan dan total keseluruhan kegagalan pada sisitem Infrastruktur sebagai resio total system Infrastruktur.
Peluang
Kegagalan Sistem Infrastruktur
Nilai Dam pak
Nilai Kem ungk inan
Nilai Dete ksi
R P N
Kerusakan alat radio
transmisi,BTS,BT
C 2.5 8 5
1 0 0
Putusnya 2.5 8 5 1
sambungan kabel PSTN
0 0
Tidak berfungsi
STO 5 2.5 5
6 2 . 5 Putusnya jaringan
Fiber Optik 8 2.5 2.5 5 0
viii.Menyusun Prioritas Kesalahan Yang Harus Ditangani.
Risiko – risiko yang terdapat pada sistem kegagalan infrastrukturini dapat dikelompokan berdasarkan nilai RPN menjadi kelompok prioritas, dimulai dengan yang membutuhkan prioritas yang tinggi (Nilai RPN tinggi) sampai prioritas yang rendah (Nilai RPN rendah).
ix. Mitigasi
Penanganan risiko pada sistem infrasturktur dilakukan secara simultan terhadap tiga aspek: mengurangi dampak risiko, memperkecil kemungkinan terjadinya risiko dan meningkatkan kemapuan deteksi risiko.
x. Assesment Ulang Tingkat Prioritas Risiko Setelah perlakuan perlindungan risiko diterapkan maka diharapkan nilai RPN setelah perlakuan menjadi turun.Jika nilai RPN setelah perlakuan turun pada batas aman maka tidak perlu dilakukan tindak perlindungan lebih lanjut.
2. Analisis risiko
Analisa risiko bertujuan untuk memahami risiko lebih dengan pembahasan yang lebih dalam lagi. Hasil dari analisa risiko akan menjadi input untuk evaluasi risiko sebagai dasar untuk memperlakukan risiko. Metoda yang digunakan dalam paper ini adalah Analisis sebab akibat.
64
Layanan TIME tidakbisa digunakan
gempa bumi banjir
gempa
angin tanah longsor
Gambar : Diagram Sebab Akibat Kegagalan system Infrastruktur Telkom
3. Evaluasi risiko
Tujuan dari evaluasi risiko adalah membantu proses pengambilan keputusan berdasarkan hasil analisis risiko.Risiko kegagalan sistem infrastruktur dengan skala besar dan tengah perlu ditangani dengan pertimbangan:
a. Yang termasuk dalam kategori kelompok atas akan berdampak langsung terhadap tujuan dan strategis perusahaan.
b. Yang termasuk dalam kategori Tengah dengan kemungkinan kejadian yang sering (hampir pasti) terjadi secara tidak langsung juga akan berdampak buruk terhadap pendapatan perusahaan secara umum dan kepercayaan pelanggan.
c. Yang termasuk dalam kategori kategori Bawah memilitki risiko terlalu kecil sehingga tidak dibutuhkan penanganan risiko secara khusus.[4]
Berdasarkan permasalahan studi kasusyang dianalisis yaitukegagalan sistem infrastruktur dikelompokkan menjadi seperti tabel berikut :
Unit Tanah longsor Tengah
Kabel PSTN Anging Bawah Banjir Tengah
BTS
Gempa bumi Tengah Banjir Bawah
Gempa bumi Tengah
STO Banjir Tengah
Gempa bumi Tengah
Perlakuan Risko
Hasil dari evalusi risiko adalah suatu daftar yang berisi peringkat risiko yang memerlukan perlakuan risiko. Secara umum perlakuan terhadap suatu risiko terdiri dari 4 yaitu [4]:
1. Menghindari risiko (risk avoidance) 2. Berbagi risiko (risk sharing/transfer) 3. Mitigasi (mitigation)
4. Menerima risiko (riskacceptance) Setelah melakukan assesment risiko (identifikasi, analisis dan evaluai risiko) maka perlakuan risiko yang tepat unuk permasalahan kegagalan system infrastruktur Telkom adalah mitigasi yaitu perlakuan risiko untuk mengurangi terjadinya risiko dan pengurangan kerugian yang diakibatkan apabila risiko tersebut terjadi.Metode yang digunakan dalam mitagasi ini adalah perbaikan prosedur dan kebijakan (tindakan pengendalian).
Kegiatan pengendalian yang dilakukan adalah review oleh manajemen puncak untuk pembangunan dan pemeriksaan secara fisik system infrasturuktur Telkom. Berikut adalah kegiatan pengendalian yang dianjurkan
Unit Sumber
Pembangunan fiber optic didaerah gempa lebih diperkuat pelindung fiber optic atau menggunakan cadangan koneksi fiber optic dengan titik yg berbeda serta backup cadangan Satelit
Tanah Longsor
Pelindung fiber optic ditambah serta pemilihan lokasi daerah yang bukan mudah longsor.
Kabel PSTN
Angin Pembangunan tiang kabel yang kuat khusus daerah-daerah yg sering dilalui angin yang kuat
Banjir Pemasangan kabel yang sudah diperhitungkan akan tetap bisa bekerja normal walaupun kena banjir
BTS
Petir Penambahan anti petir khususnya daerah-daerah yang diditeksi kemungkinan petirnya tinggi.
65
kondisi daerah-daerahyang tekanan angin cukup tinggi.
Gempa Bumi
Pembangunan
infrastruktur yang anti gempa.
Banjir Pembangunan
infrastruktur dibuat di
tempat yang
kemungkinan banjir kecil serta desain untuk anti banjir
BTC
Banjir Bangunan tempat BTC harus anti banjir
Gempa Bumi
Bangunan tempat BTC harus anti gempa
STO
Banjir Bangunan tempat STO harus anti banjir
Gempa Bumi
Bangunan tempat STO harus anti gempa
MSC
Banjir Bangunan tempat MSC harus anti banjir
Gempa Bumi
Bangunan tempat MSC harus anti gempa
KESIMPULAN DAN SARAN Kesimpulan
Setelah dilakukan analisis terhadap manajemen risiko terkait risiko TI khusunya risiko kegagalan sistem infrastruktur akibat gangguan alam di PT. Telkom, Menggunakan framework manajemen risiko ISO 31000:2009, ternyata dapat diambil kesimpulan sebagai berikut: 1. Penggunaan Frameworkmanajemen risiko
TI dengan ISO 31000:2009 ini dapat membantu proses pengambilan keputusan berdasarkan hasil riskassessment yang dilakukan.
2. Sumber risiko yang bisa berdampak langsung terhadap tujuan dan stategis perusahaan dianjurkan harus selelu di monitor dan review, karena perubahan masa akan memerlukan teknik penanganan yang lebih efektif.
Saran
1. Dalam penerapan framework manajemen risiko TI menggunakan ISO31000:2009 dianjurkan permasalahan yang diangkat lebih dari satu permasalahan yang berbeda karena risiko yang satu biasanya tidak terlepas juga dengan risiko yang lain.. 2. Penerapan framework manajemen risiko TI
menggunakan ISO31000:2009 diperlukan
ketepatan dalam menggunakan teknik/metode di dalam setiap siklus frameworknya.
DAFTAR PUSTAKA
____(2010). Annual Report 2010. [online] available http://www.telkom.co.id, Akses 5 September 2011.
____ (2009), The Risk IT Practitioner Guide, ISACA, http://www.ISACA.org Akses 12 Agustus 2011.
Segal,Sim (2011), Corporate Value of Enterprise Risk Management : The Next Step in Business Management, Jhon Wiley & Sons Inc. New Jersey, USA.
Leo J. Susilo dan Victor Riwu Kaho, (2010):Manajemen Risiko Berbasis ISO 31000 Untuk Industri Non Perbankan, Penerbit PPM, Jakarta. ___, (2004): Enterprise Risk
Management-Integrated Framework, Committee of Sponsoring Organizations (COSO) of Treadway Commission
____(2009),The Risk IT Framework : Principles, Process Details, Management Guidelines, Maturity Models.http://www.ISACA.org Akses 14 Agustus 2011.
Alijoyo,Antonius, Dasar-dasar Enterprise Risk Management untuk Direktur dan komisaris, Jakarta : Lembaga Komisaris dan Direktur Indonesia (LKDI), tanpa tahun.
____, (2011): ISO_31000, [online] Tersedia: http://en.wikipedia.org/wiki/, Akses 3 Mei 2011
Leo J. Susilo, (2011): Tantangan Penerapan ISO 31000:2009: Risk Management-Principles and Guidline, General lecture in Manajemen Risiko TI Kaderi W,Sudarso.,Suharto, Analisis Risiko
Operasional di PT. Telkom dengan Pendekatan Metode ERM, Jurnal Manajemen Teknologi, Volume 7 Tahun 2008,Bandung.
akibat-gangguan-jaringan-pt-telkom-66
persero-baubau-rugi-sekitar-milyaran-rupiah.htmlAkase 28 September 2011. ____,(2007). Telkom rugi Rp18 miliar akibat
bencana banjir [online] Tersedia:http://www.bumn.go.id/2429 7/publikasi/berita/telkom-rugi-rp18-miliar-akibat-bencana-banjir/Akes 28 September 2011.
____(2009). 2 (dua) buah Titik Fiber Optik Rusak, PT.Telkom minta maaf [online] Tersedia
:http://www.tempo.co/hg/nusa/2009/10 /01/brk,20091001-200297,id.html Akses 1 Oktober 2011.
____,(2009). Gempa, Jaringan Inti Telkom Alami Gangguan [online] Tersedia : http://nasional.vivanews.com/news/rea
d/56825-2_titik_fiber_optik_rusak__telkom_mi nta_maaf Akses 1 Oktober 2011. ____(2009), Infrastruktur Telkom Rusak,
Layanan Komunikasi Belum Normal [online] Tersedia : http://kelanakota.suarasurabaya.net/?id =9b79a2401086bd5ce76bd1d7614fb2d 1200969821 Akses 2 Oktober 2011. ____(2006), Ribuan Telepon di Aceh dan
Sumut Mati Karena Banjir : Telkom Berusaha Mengambil Tindakan Cepat [online] Tersedia :